Apache 修复 Apache HTTP Server 中的源代码泄露漏洞

发布于 作者:

Apache 修复 Apache HTTP Server 中的源代码泄露漏洞

代码卫士 2024-07-08 17:07

聚焦源代码安全,网罗国内外最新资讯!

作者:Pierluigi Paganini****

编译:代码卫士

Apache 软件基金会修复了Apache HTTP Server 中的多个漏洞,其中包括拒绝服务 (DoS)、远程代码执行和越权访问等问题。

其中一个漏洞是严重的源代码披露漏洞,编号为CVE-2024-39884。安全公告提到,“Apache HTTP Server 2.4.60内核中的回归忽视了句柄的基于遗留内容类型配置的某些使用。’AddType’和类似配置在一定的情况下即间接请求文件时,可导致本地内容的源代码遭泄露。例如,PHP脚本会被提供而非被翻译。”

CVE-2024-39884由处理遗留内容类型配置的回归导致。在一定条件下,当 “AddType” 指令和类似设置被使用时,可无意间暴露将被处理的文件(如服务器端脚本和配置文件)的源代码,从而导致敏感数据被暴露给攻击者。

Apache 软件基金会建议用户升级至版本2.4.61。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告

Apache 项目中存在依赖混淆漏洞

Apache Superset 漏洞导致服务器易遭RCE攻击

Apache Ivy 注入漏洞可导致攻击者提取敏感数据

Apache Superset 会话验证漏洞可导致攻击者访问未授权资源

原文链接

Apache fixed a source code disclosure flaw in Apache HTTP Server

题图:
Pexels
 License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~